janvier, 2009

Comment gagner beaucoup d’argent avec du plastique ? Wired, via le blog de Thierry Zoller nous apprend tout sur les fausses cartes de crédit : de l’impression à l’embossage, en passant par le collage de l’hologramme ou l’enregistrement de la piste magnétique. Le document étant américain, on n’y parle pas de carte à puce. D’un point de vue purement pratique, l’on comprend, en moins de 5 minutes, pour quelle raison l’art de la fausse monnaie a été abandonné par les artistes du genre et laissé aux amateurs d’imprimante jet-d’encre.

Comment gagner beaucoup d’argent en se faisant pirater ?Tout est expliqué sur le blog « Film ». Plutôt que de jouer les veuves éplorées ruinées par les flibustiers du P2P -façon Sacem ou RIAA-, les Monthy Python ont décidé de « surfer sur la vague du pillage YouTube » en orchestrant eux-mêmes la diffusion gratuite des grands moments du Flying Circus. De « I like traffic lights » au chant du joyeux bûcheron-travelo, en passant par Eric le poisson rouge sans licence et les dramatiques entrées en scène de l’Inquisition Espagnole… hurlements de rire garantis, mais surtout incitation efficace à cliquer sur le lien Amazon proposant pour trois fois rien l’intégrale de l’œuvre du Cleese & Gilliam’s gang (en haute définition sauce BBC). Depuis le début de cette opération de récupération, à la fin de l’an passé, les ventes auraient progressé de 23000 %. Chiffre à prendre avec bien des précautions, les membres du Flying Circus n’en étant pas à leur premier canular du genre.

Pour quelle raison le Monthy Python réussirait là ou les locomotives de la variété échouent lamentablement ? Probablement parce qu’ils ont quelque chose à vendre, le fruit d’un véritable travail de création, et non une soupe synthétique relevant du « prêt à consommer » dont la vacuité n’a d’égal que les espoirs marketing des Majors. Probablement aussi parce que certains groupes de créateurs ont toujours fait parti du patrimoine génétique d’Internet. Les Monthy pour avoir immortalisé le mot Spam ou Douglas Adams pour son DON’T PANIC ! et sa serviette de toilette. L’intelligence du nonsense britannique colle parfaitement à la peau du « nonsense » technique qu’a été et qu’est encore ce joyeux capharnaüm qu’est le Net.

Comment faire aussi insipide et aussi inaudible que les scies industrielles distillées par les Major ? En téléchargeant la dernière pré-version de SongSmith de Microsoft –une bêta qui mérite bien son nom-. SongSmith, littéralement « la forge à chanson », terme qui indique bien l’origine métallurgique et musculeuse du logiciel, est un générateur de musak technologiquement conçu pour ne créer que des contenus totalement dénués de qualité. A tel point qu’il serait presque possible d’en tirer un tube digne de prendre la tête des « Charts » actuels. Quel rapport avec la sécurité et le piratage ? Peut-être une lueur d’espoir. Car si chaque internaute parvient à comprendre, grâce à SongSmith, que n’importe qui peut « créer » de la musique (du bruit ?) préfabriquée, peut-être que l’espérance de vie de la variété actuelle diminuera au point de disparaître, et avec elle, toute trace de piratage. A quoi bon copier illégalement quelque chose que l’on peut faire sous sa douche ? Monthy Python + SongSmith = fin des problèmes de rémunération des artistes… des vrais.

Hop, une dernière vidéo, aussi mélodique qu’un concerto de Vivaldi …interprété à la scie musicale : un solo de Thérémine. Cet improbable instrument, digne des pires turpitudes de l’Ircam, a inspiré l’équipe du Midnight Research Lab, les redoutables hackers WiFi. Ces rois du Wardriving ont modifié une carte WiFi en détecteur de proximité audible. Le son produit par les haut-parleurs de l’ordinateur portable varie en tonalité et en douceur au fur et à mesure que l’on s’approche du point d’émission. Cette forme de radiogoniométrie pour malvoyants ressemble à s’y méprendre au bruit que génère une poêle à frire. A ranger dans la catégorie « fantasmes techniques », à côté du fusil ou du pistolet à écouter Bluetooth à distance et autres « boîtes Ricoré ». Ce n’est pas du piratage, c’est du hacking pur… de l’amusement technologique.

Une fois de plus, les fichiers de Monster.com –site d’offres d’emploi- ont semble-t-il été piratés. C’est la seconde fois que cette entreprise est victime de fuite d’identité. Pour le coup, précise Security Focus, c’est presque tout le pedigree des abonnés-chercheurs d’emploi qui se retrouve sur la place publique : nom, prénom, N° de téléphone, adresse email, login et mot de passe… assez de matériau pour, en ces temps de charrettes, forger une belle opération de « spear phishing » jouant sur la détresse des personnes visées.

Pour l’heure, aucune indication sur le volume probable des données compromises n’a été avancée. La précédente fuite de données avait touché près de 1,3 million de personnes.

Joanna Rutkowska, qui habituellement nage avec aisance dans les remous des espaces mémoire et des machines virtuelles, offre à ses lecteurs une saga de 6 pages-écran consacrée au « boot sécurisé » statique et dynamique, et de l’intégration de Bitlocker (outil de chiffrement des disques sous Vista) dans cet univers. Rarement exercice de vulgarisation ne fut plus difficile, rarement un expert est parvenu en termes simples à expliquer comment tout cela fonctionne. Les points de faiblesse, les qualités du procédé, ses différences par rapport aux méthodes développées par quelques concurrents, et surtout le pourquoi de leur utilité. Et Rutkowska de se lancer dans une palpitante aventure d’espionnage informatique, au fil de laquelle l’utilisateur d’un ordinateur portable alterne périodes de travail et séances de jacuzzi, tandis qu’une « femme de chambre diabolique » profite de la moindre absence pour implanter de faux écrans de login. La morale de l’histoire, c’est que l’on peut utiliser Bitlocker en toute confiance, mais que son infaillibilité n’est pas absolue.

C’est pourtant simple,les conseils prodigués par Microsoft pour supprimer la fonction Autorun de Windows –celle par qui le virus Downadup se propage- ne fonctionnent pas parfaitement. C’est notre procédure qu’il faut suivre, dit en substance le Cert US au fil d’un article explicatif fortement illustré. Et la recette du Cert est radicale, puisque l’opération consiste à bloquer cette fonction Autorun directement à partir de la base de registre. L’incantation magique que devront psalmodier les descendants de Taffimai Metallumai est la suivante :
@= »@SYS:DoesNotExist »
Précisons que cette mesure est radicale et ergonomiquement pas des plus pratiques, surtout dans le cadre d’une informatique personnelle ou de TPE/artisan. Il est peut-être préférable, au sein de petits réseaux, d’éradiquer d’éventuelles infections à l’aide des programmes gratuits offerts par les éditeurs d’A.V., puis de vérifier si les principaux correctifs ont bien été appliqués. Avec le susnommé ( MBSA, par exemple.

Les alertes de sécurité se suivent, d’éditeur en équipementier, avec la même régularité et le même étiage. Apple n’annonce que deux correctifs concernant Quicktime et son lecteur MPeg 2. Il est à noter que ce défaut Quicktime est en fait un « cumulatif » qui corrige près de 7 vulnérabilités différentes, et concerne indifféremment les versions OS/X et Windows. A surveiller de près, les défauts Quicktime étant, ces jours-ci, particulièrement appréciés des diffuseurs de vers et troyens.

Cisco, de son côté, émet deux bulletins, l’un à propos du Security Manager dont une défaillance peut donner accès à la base MySQL ou au serveur IEV, l’autre concernant le Communication Manager et ouvrant potentiellement une possibilité d’exécution de code.

Paraphrasant ainsi l’Enfant d’Elephant de Rudyard Kipling, le patron technique de Shavlik, Eric Schultze, présente ses plus plates excuses aux membres du MSRT de Microsoft. Car, après mûres réflexions, la faille signalée –et corrigée- par le bulletin MS09-001 n’est pas « super critique » mais tout simplement « critique ». Emporté par la fougue de l’éditorialiste, Schultze reprend les propos de l’équipe sécurité de Redmond et reconnaît que l’exploitation d’un tel défaut n’est pas à la portée de tout le monde.

Exagérée, la réaction de Schultze ? Pas tant que çà. L’on pourrait gloser des jours durant. La subtile différence entre une faille critique et une faille super-critique n’est pas plus épaisse que ce qui différencie un ordinateur infecté d’un ordinateur super-infecté. En outre, il s’agissait d’un bug affectant SMB, ce protocole tortueux comme le grand fleuve Limpopo qui est comme de l’huile, gris-vert et tout bordé d’arbres à fièvre. Si les équipes de Shavlik avaient récolté 1000 actions Microsoft à chaque faille SMB répertoriée depuis la création d’HFNetchk/MBSA, Schultze pourrait presque prétendre à la place de Ballmer.

La cinquième Conférence Internationale sur la gestion de crise informatique et la recherche de preuves ( IMF) lance son traditionnel appel à communication. Cette manifestation se déroulera du 15 au 17 septembre prochain à Stuttgart (Allemagne), et abordera aussi bien les aspects juridiques liés à la gestion des sinistres que les moyens d’information et de formation, la surveillance et les actions à envisager. Seront également concernés les outils, les techniques d’utilisation, les procédures d’enregistrement et les contraintes légales de tout ce qui touche au « forensic », à la recherche d’éléments probants.

Dans un superbe ensemble, les principaux chasseurs de virus publient leur programme d’éradication Downadup. Voilà qui est rassurant. Las, le logiciel salvateur est généralement inaccessible. Inaccessible car l’une des premières précautions que prend le virus au moment où il s’installe est de bannir tout appel dns en direction des domaines des éditeurs. Microsoft, F-Secure, avp, McAfee, Symantec….au total, près d’une soixantaine de sites « interdits » par Conficker. Même CastleCops, qui a fermé boutique depuis quelques temps déjà, est mis à l’index par ce virus.

Soit l’administrateur prudent réinstalle une machine « from scratch » en bénissant le dieu des ordinateurs virtuels et des images iso, puis emploie ce système sain pour filer tout droit sur les pages html de son éditeur préféré, soit il emprunte les chemins de traverse. Les ftp, par exemple, tel que celui de f-Secure, en prenant soin de remplacer le nom de domaine par l’adresse IP dudit site… ça donne quelque chose comme çà : ftp://193.110.109.53/anti-virus/tools/beta/f-downadup.zip. Secureworks, dont le nom ne figure pas pour l’instant au nombre des interdits de navigation, offre également sa version d’anti-downadup ainsi que l’url directe du serveur de contenu du MSRC (initialement, le fameux download.microsoft.com). Comme le mot « microsoft.com » ne figure pas dans ce lien, downadup laisse aimablement passer cette requête, et avec elle la récupération de son propre arrêt de mort.

Ozdok est loin d’être un inconnu. C’est même probablement l’un des vecteurs de botnet les plus actifs du moment. Et c’est précisément en récoltant le contenu d’une moisson d’Ozdok stockée sur les disques d’un C&C que SpamHaus et Secureworks ont découvert une fonction cachée de ce virus : un utilitaire de capture d’écran.

Le fait n’est pas très nouveau, et l’on pourrait pratiquement remonter jusqu’à BackOrifice si l’on devait recenser tous les virus ou rootkits voyeurs. Dans un spambot, la chose est cependant nouvelle. Elle permettrait notamment, expliquent les chercheurs de l’ex Luhrq, de voir du premier coup d’œil si le programme est exécuté à l’intérieur d’une VM, si le bureau est « trop propre et rangé pour être honnête ». Avis aux chasseurs de bots « live », semez un certain b…azard sur vos papiers peints ou dans l’organisation de vos répertoires… un œil noir vous regarde peut-être.

Barack Obama est loin d’être un inconnu dans les logs d’administration réseau. Déjà les spams utilisant son image sont classés premier au hit parade des calamités smtp. Arbor Networks nous apprend que l’Obamania a également été responsable, le jour de l’investiture, d’un formidable pic de trafic, notamment sur les ports TCP 1935 et UDP 8247 : ce sont là les traces des échanges Flashplayer entre les internautes et les sites d’information, CNN en tête. Au plus fort de la demande, le flux aurait frisé les 3,5 Teraoctets. De quoi faire pâlir d’envie un bot herder spécialiste du chantage au déni de service. Deux opérateurs télécom seraient d’ailleurs allés au tapis en recevant cet uppercut de trames. Obama est plus fort que l’ouverture du dernier US Open, clame Arbor Networks. La popularité des chefs d’Etat peut donc, en théorie, être mesurée à l’aide d’un sniffer. Fort heureusement, le désintérêt relatif du reste du monde pour la politique locale des Etats Unis a limité les dégâts. L’Asie et l’Europe n’ont contribué ensemble qu’à 1% dans l’élévation du volume de données échangées.

Selon nos confrères de TechArp, le SP2 de Vista pourrait prendre un peu de retard. Le dernier rempart contre la fuite massive des usagers vers un Windows Seven prometteur devrait entrer en phase Beta à partir de févier 2009, en espérant pouvoir atteindre la phase RTM courant avril. Pas de SP2 donc dans le meilleur des cas avant mai ou juin prochain.